かわろぐ

技術、ボルダリング、セキュリティ、その他もろもろ

MENU

WhiteHat Wargame Challenge 02 For002 Write Up

3/25 11:00 ~ 19:00 (JST)の期間に開催された WhiteHat Wargame Challenge 02 の Write Up です。

このCTFはクイズ形式のCTFで、レベルは入門者でも少し頑張れば解ける、比較的簡単な方でした。

他にも For001 もWriteUp書いていますので合わせてどうぞ。

 For002 WriteUp

今回は For002 のWriteUpです。この問題もフォレンジック系の問題で、問題文は以下の通りです。

Player must use Wireshark to read pcapng file, analyze the packages captured to find the flag. 
Guide link: https://quantrimang.com/su-dung-wireshark-de-phan-tich-goi-du-lieu-trong-he-thong-mang-85026 (Vietnamese)
Download file here:
http://material.wargame.whitehat.vn/challenges/2/For002_5775ed830d46bbf3500e91d973f83562.zip
Submit WhiteHat{sha1(flag)}
Example: flag = Hello World
sha1("Hello World") = 0a4d55a8d778e5022fab701977c5d840bbc486d0
You must submit: WhiteHat{0a4d55a8d778e5022fab701977c5d840bbc486d0}
(all hash charactera in lowercase)

問題文を訳すと、プレイヤーは必ずWiresharkを使ってpcapng ファイルを読み、キャプチャされたパケットを解析し、フラグを見つけよ。というところでしょうか。

Wiresharkの使い方リンクも親切に提示されていますが、ベトナム語のサイトなので英語以上に読めません。。。

まぁ、Wiresharkの基本的な使い方が試される問題なんだろうなぁと勝手に想像しました。

通信の概要を見る

まずはキャプチャされた通信の概要でも見てみようということで、Statistics の IPv4 Statistics の All Addresses を選択します。

すると以下のように通信の概要が表示されます。

f:id:kawa_xxx:20170325230039p:plain

ふむふむ。 192.168.75.151 との通信が一番多そうだなということがわかりました。

パケットを眺めてみる

パケットをHTTPに絞って見ていると、 192.168.75.151 との通信で Secret.docx というあからさまなファイルを取得しているリクエストがありました。

ここを深ぼってみることにします。

f:id:kawa_xxx:20170325230022p:plain

まずは、このファイルを取得してみます。Wiresharkはキャプチャされたパケットの中にファイル等があれば取り出す機能があるのでこの機能を使います。FileのExport Objectsのなかの、HTTP… を選択します。

すると、以下のウインドウの通り、キャプチャファイルの中から取得可能なファイルの一覧が表示されます。先程の Secret.docxは 11kb の列のやつですね。

少し上の行を見ると Flag.zip なんていうこれまた、あからさまなファイルがあるので合わせて取得してしまいます。

f:id:kawa_xxx:20170325230034p:plain

取得したファイルを見てみる

まずは Secret.docx から見てみることにします。内容は、フラグはここにはないけど、スペシャルなものを見つけることが出来るよ。と…

そして下部には白文字になって、何らかの文言がありそうですね…

f:id:kawa_xxx:20170325230010p:plain

該当の部分を選択してフォントを黒字にしてみると以下のように何かのパスワードが表示されました。

f:id:kawa_xxx:20170325230042p:plain

これは、もう一個取得していたZipファイルのパスワードでした。解凍されて出てきたのは悟空の画像が一枚…

f:id:kawa_xxx:20170325230015p:plain

しかも、画像として認識できる範囲でフラグはなさそうです。振り出しに戻ったかなーと思いましたが、念のためバイナリエディタでファイルを見てみることにしました。

なんか最後についてないかなぁとおもい最後までスクロールさせると…

f:id:kawa_xxx:20170325230026p:plain

ありました!フラグ。結構簡単に見つかりました。

フラグを作る

問題文にもあるようにFlagを sha1 でハッシュ化して更に WhiteHat{} でくくった以下がフラグでした。

WhiteHat{5fa814b2e92ea59d24e60b2728c5485e511b1147}

めでたしめでたし。

セキュリティコンテストチャレンジブック -CTFで学ぼう! 情報を守るための戦い方-

セキュリティコンテストチャレンジブック -CTFで学ぼう! 情報を守るための戦い方-

  • 作者: 碓井利宣,竹迫良範,廣田一貴,保要隆明,前田優人,美濃圭佑,三村聡志,八木橋優,SECCON実行委員会
  • 出版社/メーカー: マイナビ出版
  • 発売日: 2015/09/30
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログ (4件) を見る